第1部分 总则

一、前言

为规范经营管理行为，防范风险，促进建立健全各

项管理制度，提高管理水平，保障实现发展战略，

遵循外部监管、内部监控的要求，中国石化集团资

产经营管理有限公司江苏石油分公司（以下简称“资

产公司”）、中国石油化工股份有限公司江苏石油分

公司（以下简称“公司”）依据我国《公司法》、《会

计法》、《企业内部控制基本规范》、《企业内部控制

应用指引》、《企业内部控制评价指引》以及其他有

关法律、法规，制定省公司《内部控制手册》实施

细则（以下简称“实施细则”）。

二、内部控制的定义、目标和原则

1 内部控制是由公司经理层和全体员工实施的、旨在

实现控制目标的过程。

内部控制主要由内部环境、风险评估、控制活动、

信息与沟通、内部监督五个要素构成。

2 内部控制的目标是经营管理合法合规、资产安全、

财务报告及相关信息真实完整，提高经营效率和效

果，促进企业实现发展战略。

3 建立与实施内部控制，应当遵循以下基本原则：

3.1 合规性原则：内部控制必须符合国家的法律、法规

和政策；符合集团公司、股份公司经营管理的要求。

3.2 全面性原则：内部控制应当贯穿决策、执行和监督

全过程，覆盖公司及所属企业的各种业务和事项，

涉及全体员工。公司的每一位员工既是内部控制的

主体，又是内部控制的客体；既要对其负责的作业

实施控制，又要受到其他人员或制度的监督与制约。

3.3 系统性原则：公司构建系统的内部控制体系，确保

各部门和各岗位均能按特定的目标相互协调的发挥

作用，最终实现公司内部控制的总体目标。

3.4 重要性原则：内部控制应当在全面控制的基础上，

关注公司战略决策、重要业务事项和高风险领域。

3.5 制衡性原则：内部控制应当在治理结构、机构设置

及权责分配、业务流程等方面相互制约、相互监督，

使一个岗位或一个部门对一项或多项存在较大风险

的经济业务活动没有完全的处理权，必须经过不相

容的其他岗位或部门的验证、核对和制约；同时应

兼顾运营效率。

3.6 适应性原则：内部控制应当与公司经营规模、业务

范围、竞争状况和风险水平等相适应，并随着情况

的变化及时加以调整。

3.7 成本效益原则：内部控制应当权衡实施成本与预期

效益，以适当的成本实现有效控制。应实行有选择

的控制，努力降低控制成本，改进控制方法和手段，

提高效率。

3.8 包容性原则：内控手册力求避免与公司现行各项管

理制度相矛盾，尽可能包容现行制度中的内部控制。

对确实脱离实际的其他各项管理制度，应及时修改、

完善，并以内控手册规定为准。

三、实施细则适用范围

实施细则适用于省公司各处室、中心及和分公司。

省公司的相关管理制度及业务流程应当符合内控手

册的要求。

全资子公司参照《企业内部控制实施细则指导意

见》，结合实际制定实施细则。实施细则应当符合内

控手册的要求。

控股子公司应当参照内控手册，结合自身特点，按

照“业务必须覆盖内部控制手册中对应的所有规定

内容，权限比照分公司”的原则，制定内控手册，

履行内部审批程序后执行。

合资公司（股比各占50%）应当建立内控制度，内容

不应与公司内控手册相冲突。

四、内部控制手册结构

内控手册包括总则、公司层面控制、业务层面控制、

权限指引、检查评价与考核办法、附则六部分。

1 总则

总则是对内控手册的总说明。包括内控手册编制的

原则、适用范围、结构、生效及更新等。

2 公司层面控制

公司层面控制是存在于公司整体层面，对业务层面

实施的控制措施产生普遍、深远影响的控制，体现

公司的风险管理理念、风险承受能力、公司治理监

控水平、对道德价值观的遵守、人员素质与发展水

平以及职责权力分工。公司层面控制主要分为内部

环境、风险评估、信息与沟通及内部监督四个部分。

总则2.1 内部环境是建立与实施内部控制的基础，包括组织

架构、权责分配、发展战略、人力资源、社会责任、

企业文化、反舞弊及内部审计等。

2.2 风险评估是在风险识别和预测的基础上，采用定性

或定量方法，对风险发生可能性和影响程度进行预

计和估算，最终确定风险评级的过程。具体内容包

括风险管理组织体系、风险识别和分类、风险评估、

风险应对及风险监控与报告等。

2.3 信息与沟通指信息在公司内部各层级、各部门之间

以及公司与客户、供应商等之间的传递。包括信息

收集机制、信息沟通机制、内部报告、保密管理及

信息技术整体控制。

2.4 内部监督是公司对内部控制建立与实施情况进行监

督检查，评价内部控制设计和运行的有效性，发现

内部控制缺陷，提出改进措施并监督整改情况的过

程。主要包括对建立并执行内部控制的整体情况进

行持续性日常监督，对内部控制的某一方面或者某

些方面进行专项监督，以及提交相应的检查评价报

告、提出有针对性的改进措施等。

3 业务层面控制

总则业务层面控制包括内部控制矩阵和财务报告计划矩

阵。内部控制矩阵是公司依据风险评估结果，通过

手工与自动控制、预防性控制与发现性控制相结合

的方法拟定相应的控制措施。财务报告计划矩阵旨

在将会计报表项目和事项与控制措施建立联系，以

确保内部控制可以合理保证对外披露的会计报表真

实可靠。

业务层面控制措施一般包括：不相容职责分离控制、

授权审批控制、会计系统控制、财产保护控制、计

划控制、预算控制、合同管理控制、资金支付控制、

信息技术控制、运营分析控制和绩效考评控制等。

公司通过编制内部控制矩阵，对各项业务进行具体

控制。内控手册现有48个内部控制矩阵，内容涵盖

资金活动、采购及生产活动、资产管理、销售业务、

研究与开发、工程项目、担保业务、业务外包、财

务报告、全面预算、合同管理、关联方交易、税务

管理、人力资源、HSE管理、产品质量管理、信息资

源管理、信息系统管理、信息披露、内部审计等20

大类

3.1适用范围：对相关业务和事项控制的具体界定。